Критическая уязвимость в Jenkins раскрывает конфиденциальную информацию

Критическая уязвимость в Jenkins раскрывает конфиденциальную информацию

Критическая уязвимость в Jenkins раскрывает конфиденциальную информацию

Jenkins, популярная программная система с открытым исходным кодом, уведомила всех о критической уязвимости в веб-сервере Jetty, которая может привести к повреждению памяти и раскрытию конфиденциальной информации.

Отслеживаемая под идентификатором CVE-2019-17638 брешь получила 9,4 балла из 10 по шкале CVSS. Она затрагивает Eclipse Jetty версий 9.4.27.v20200227-9.4.29.v20200521.

«Существующая уязвимость позволяет не прошедшим аутентификацию злоумышленникам получить заголовки HTTP. Таким образом, в руки атакующих может попасть конфиденциальная информация, отправленная другому пользователю», — объясняют разработчики в официальном заявлении.

Проблема безопасности, затрагивающая Jetty и Jenkins Core, судя по всему, появилась с выходом Jetty 9.4.27. Именно в этой версии разработчики добавили механизм для обработки больших HTTP-заголовков, чтобы пресечь переполнение буфера.

Однако вместо переполнения буфера авторы софта столкнулись с другой распространённой проблемой — повреждение памяти и раскрытие информации. После анализа уязвимости разработчики выпустили Jetty 9.4.30.v20200611, в которой данная брешь уже отсутствует.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru